企业网银系统国产密码算法改造的方案的研究.docVIP

企业网银系统国产密码算法改造的方案的研究 　　【摘要】 本文通过对企业网银系统中密码算法的应用场景进行分析，提出了基于模块化方式将系统通用算法全部升级为国产算法的改造方案。为解决客户端浏览器对部分国产算法不兼容问题，引入了国密专用浏览器，实现了国产算法的全面应用。为确保新旧系统平滑切换，采用了密码服务中间件对应用系统进行了多算法支持，降低了方案实施难度，保障了系统服务的连续性和稳定性。 　　【关键词】 网银系统 国产密码算法 改造方案 　　前言 　　商业银行对其信息系统进行国密算法升级改造既是一项监管政策要求，也是银行提高信息技术安全可控能力的重要途径。企业网银系统是银行针对企业客户提供支付结算等多种金融服务的应用系统，相比个人网银系统，虽然单笔交易金额大、安全防护要求高，但也有用户数量少、交易笔数少、系统架构简单的特点。因此选择以企业网银系统为样本进行国密算法升级改造具有相对较低的实施难度，并可为其他重要信息系统的改造积累经验。本文针对基于公钥密码体系的典型企业网银系统，研究制定国密算法升级改造方案，并对其中涉及的关键环节和问题进行了分析。 　　一、企业网银系统现状分析 　　1.1企业网银系统的典型架构 　　企业网银系统一般采用B/S模式部署。在网络上，采用分区纵深防护的原则，划分为网银外联区、网银DMZ区、网银应用服务区和核心内网区，系统服务器分为典型的Web、应用、数据库三层次。同时，通过在客户端、服务器端部署智能密码钥匙（USB-key）、安全网关、签名验签服务器等密码组件，实现加密技术的应用，确保交易过程的安全。以下为网银系统部署示意图。 　　各区域主要功能为： 　　（1）网银外联区：到互联网的线路连接，外部用户接入区。 　　（2）网银DMZ区：负责验证客户身份并处理用户访问请求，客户与SSL安全网关建立安全传输通道，对系统Web服务器进行保护。 　　（3）网银应用区：部署网银系统应用服务器和签名验签服务器。 　　（4）核心内网区：部署数据库服务器，并通过此区域和银行其他信息系统进行数据交互。 　　（5）证书认证区：部署电子认证系统，负责客户数字证书的生成和核验。 　　（6）客户端：客户采用浏览器和智能密码钥匙（USBkey）与网银系统通信。 　　1.2系统密码算法应用场景及对应关系 　　密码技术在企业网银中一般起到保障数据传输安全、身份认证安全和交易信息安全三种职能。在数据传输方面，浏览器与网银安全网关之间通过建立SSL加密通道方式确保数据传输过程的安全，在建立SSL会话过程中，采用了对称加密算法AES协商会话密钥。在身份认证方面，通过客户、服务器建立双向数字证书认证机制，数字证书一般采用RSA算法生成，防止被仿冒。在业务交易环节，网银系统对客户提交的交易信息采用摘要杂凑算法SHA-1进行了签名加密，服务器端对应进行了验签，确保交易信息安全。 　　综上，网银系统中密码算法的应用共有数字证书生成、身份认证、通信协商、签名验签四个场景。国密算法改造需将各个应用场景中的国际通用算法替换为对应的国产SM系列算法。 　　二、系统算法升级改造方案 　　根据企业网银系统架构，采用分区域分模块改造的方式，对系统采用的全部通用算法进行改造。具体可分为安全基础设施改造、业务应用系统改造、客户端改造三部分。 　　2.1安全基础设施改造 　　安全基础设施改造的主要任务是对企业网银系统服务器端使用的安全接入设备、签名验签服务器等密码产品进行升级，替换为由国家密码主管部门批准的产品，使企业网银系统在软硬件上具备使用国密SM系列算法的基础。 　　2.1.1安全网关改造 　　通过对安全网关进行升级，实现安全网关可支持与客户端建立基于国产算法SM4的双向SSL加密链路，提高SSL协议传输的加密强度。 　　2.1.2签名验签改造 　　签名验签服务器作为底层硬件密码设备，将为应用服务器提供硬件密码生成和核验服务。改造后，新的签名验签服务器应支持对国产SM系列算法密钥的加密和解密。 　　2.2电子认证（CA）系统改造 　　网银系统一般采用第三方CA系统签发数字证书，对CA改造的目标是实现支持国密算法SM2签发的数字证书。银行应选择具有电子认证服务使用密码许可资质的单位合作建设基于国密算法的证书认证系统。 　　2.3网银应用系统改造 　　2.3.1应用系统改造内容 　　应用系统改造的内容是与新算法的签名验签服务器对接，可以直接调用新的签名验签服务器提供的开发接口方式实现。然而考虑到新的密码算法上线后，旧的密码体系并不会立刻中断，应用系统将会同时收到由SM2算法和RSA算法签发的两种不同类型的数字证书认证信息以及由SHA-1算法和SM3算法签名的两种不同类型的客户交易信息。因此应用服务器改造后还必